C#和SQl注入字符串的攻击和防止注入字符转的攻击

作者：Victoria625_176 | 来源：互联网 | 2023-07-11 11:19

--SQl中--建立ren的数据库，插入一条信息createdatabaserengouserengocreatetablexinxi(codenva

--SQl中
--建立ren的数据库&＃xff0c;插入一条信息
create database ren
go
use ren
go
create table xinxi
(
code nvarchar(20) primary key,--编号
name nvarchar(50)--名字
)
insert into xinxi values(&＃39;1001&＃39;,&＃39;zhangsan&＃39;)

for (; ; ){bool b &＃61; false;//利用中间变量Console.Write("请输入要修改的编号&＃xff1a;");string no &＃61; Console.ReadLine();//查询展示SqlConnection zhancnn &＃61; new SqlConnection("server&＃61;.;database&＃61;ren;user&＃61;sa;pwd&＃61;123");//连接//操作的语句SqlCommand zhancmd &＃61; zhancnn.CreateCommand();zhancmd.CommandText &＃61; "select * from xinxi where code&＃61;&＃39;" &＃43; no &＃43; "&＃39;";//执行操作的语句
zhancnn.Open();SqlDataReader ss &＃61; zhancmd.ExecuteReader();if (ss.HasRows)//数据库中是否有要修改的数据
{b &＃61; true;}zhancnn.Close();if (b &＃61;&＃61; true)//如果有要修改的数据
{Console.Write("找到【" &＃43; no &＃43; "】的信息&＃xff0c;请输入要修改的名字&＃xff1a;");string mingzi &＃61; Console.ReadLine();zhancmd.CommandText &＃61; "update xinxi set name&＃61;&＃39;"&＃43;mingzi&＃43;"&＃39; where code&＃61;&＃39;"&＃43;no&＃43;"&＃39;";zhancnn.Open();zhancmd.ExecuteNonQuery();zhancnn.Close();Console.WriteLine("修改完毕&＃xff01;");break;}else//如果没有要修改的数据
{Console.WriteLine("数据库中没有该条信息&＃xff0c;请输入正确的编码&＃xff01;&＃xff01;");}}Console.ReadLine();

执行时&＃xff0c;&＃xff0c;注意&＃xff0c;我就要输入了&＃xff1a;

然后查询数据库&＃xff0c;查询全部&＃xff0c;就成为了

为了防止这种注入文字攻击&＃xff0c;我们就需要&＃xff1a;

//C#中 for (; ; ){bool b &＃61; false;//利用中间变量Console.Write("请输入要修改的编号&＃xff1a;");string no &＃61; Console.ReadLine();//查询展示SqlConnection zhancnn &＃61; new SqlConnection("server&＃61;.;database&＃61;ren;user&＃61;sa;pwd&＃61;123");//连接//操作的语句SqlCommand zhancmd &＃61; zhancnn.CreateCommand();zhancmd.CommandText &＃61; "select * from xinxi where code&＃61;&＃39;" &＃43; no &＃43; "&＃39;";//执行操作的语句
zhancnn.Open();SqlDataReader ss &＃61; zhancmd.ExecuteReader();if (ss.HasRows)//数据库中是否有要修改的数据
{b &＃61; true;}zhancnn.Close();if (b &＃61;&＃61; true)//如果有要修改的数据
{Console.Write("找到【" &＃43; no &＃43; "】的信息&＃xff0c;请输入要修改的名字&＃xff1a;");string mingzi &＃61; Console.ReadLine();zhancmd.CommandText &＃61; "update xinxi set name&＃61;&＃64;mingzi where code&＃61;&＃64;no;";//&＃64;变量名:占位符。注意&＃xff1a;name&＃61;&＃64;mingzi没有引号
zhancmd.Parameters.Clear();//必须先清空里面所有内容zhancmd.Parameters.Add("&＃64;mingzi",mingzi);//类似哈希表。第一个值随便取&＃xff0c;必须跟上边一致&＃xff1b;第二个是变量zhancmd.Parameters.Add("&＃64;no",no);zhancnn.Open();zhancmd.ExecuteNonQuery();zhancnn.Close();Console.WriteLine("修改完毕&＃xff01;");break;}else//如果没有要修改的数据
{Console.WriteLine("数据库中没有该条信息&＃xff0c;请输入正确的编码&＃xff01;&＃xff01;");}}Console.ReadLine();
//如果在执行窗口输入上跟上次一样的内容&＃xff0c;那么输出的结果就是把”那句注入的代码“和”要改的name“ 作为一整个字符串进行处理。

推荐阅读

format
MySQL显示SQL语句执行时间的实例详解

本文详细介绍了如何使用MySQL来显示SQL语句的执行时间，并通过MySQL Query Profiler获取CPU和内存使用量以及系统锁和表锁的时间。同时介绍了效能分析的三种方法：瓶颈分析、工作负载分析和基于比率的分析。 ... [详细]

蜡笔小新 2023-12-12 16:16:42
format
使用pymysql的Python无法向mysql数据库中的表添加字段

WhenIusepythontoapplythepymysqlmoduletoaddafieldtoatableinthemysqldatabase,itdo ... [详细]

蜡笔小新 2023-12-12 13:45:10
byte
Oracle 11g物理Active Data Guard实时查询（Realtime query）特性

在Oracle11g以前版本中的的DataGuard物理备用数据库，可以以只读的方式打开数据库，但此时MediaRecovery利用日志进行数据同步的过 ... [详细]

蜡笔小新 2023-12-11 15:49:10
select
MySQL语句大全：创建、授权、查询、修改等【MySQL】的使用方法详解

本文详细介绍了MySQL语句的使用方法，包括创建用户、授权、查询、修改等操作。通过连接MySQL数据库，可以使用命令创建用户，并指定该用户在哪个主机上可以登录。同时，还可以设置用户的登录密码。通过本文，您可以全面了解MySQL语句的使用方法。 ... [详细]

蜡笔小新 2023-12-11 15:34:14
timestamp
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
select
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
instance
问题2：重新命名或者移动数据文件、日志文件到新的位置

本文讨论了在数据库打开和关闭状态下，重新命名或移动数据文件和日志文件的情况。针对性能和维护原因，需要将数据库文件移动到不同的磁盘上或重新分配到新的磁盘上的情况，以及在操作系统级别移动或重命名数据文件但未在数据库层进行重命名导致报错的情况。通过三个方面进行讨论。 ... [详细]

蜡笔小新 2023-12-13 13:02:24
foreach
关于Linq to sql 实现模糊查询 string数组

前景：当UI一个查询条件为多项选择，或录入多个条件的时候，比如查询所有名称里面包含以下动态条件，需要模糊查询里面每一项时比如是这样一个数组条件：newstring[]{兴业银行, ... [详细]

蜡笔小新 2023-12-13 09:34:59
install
C#制作Java+Mysql+Tomcat环境安装程序，一键式安装教程

本文介绍了如何使用C#制作Java+Mysql+Tomcat环境安装程序，实现一键式安装。通过将JDK、Mysql、Tomcat三者制作成一个安装包，解决了客户在安装软件时的复杂配置和繁琐问题，便于管理软件版本和系统集成。具体步骤包括配置JDK环境变量和安装Mysql服务，其中使用了MySQL Server 5.5社区版和my.ini文件。安装方法为通过命令行将目录转到mysql的bin目录下，执行mysqld --install MySQL5命令。 ... [详细]

蜡笔小新 2023-12-12 19:29:55
input
PDO MySQL

PDOMySQL如果文章有成千上万篇，该怎样保存？数据保存有多种方式，比如单机文件、单机数据库（SQLite）、网络数据库（MySQL、MariaDB）等等。根据项目来选择，做We ... [详细]

蜡笔小新 2023-12-12 10:25:39
js
数据库知识点复习及命令使用

本文主要复习了数据库的一些知识点，包括环境变量设置、表之间的引用关系等。同时介绍了一些常用的数据库命令及其使用方法，如创建数据库、查看已存在的数据库、切换数据库、创建表等操作。通过本文的学习，可以加深对数据库的理解和应用能力。 ... [详细]

蜡笔小新 2023-12-11 16:27:44
install
Centos7.6安装Gitlab教程及注意事项

本文介绍了在Centos7.6系统下安装Gitlab的详细教程，并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时，还强调了使用阿里云服务器时的特殊配置需求，以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]

蜡笔小新 2023-12-14 14:01:06
install
Python SQLAlchemy库的使用方法详解

本文详细介绍了Python中使用SQLAlchemy库的方法。首先对SQLAlchemy进行了简介，包括其定义、适用的数据库类型等。然后讨论了SQLAlchemy提供的两种主要使用模式，即SQL表达式语言和ORM。针对不同的需求，给出了选择哪种模式的建议。最后，介绍了连接数据库的方法，包括创建SQLAlchemy引擎和执行SQL语句的接口。 ... [详细]

蜡笔小新 2023-12-12 15:23:06
foreach
使用sp_msforeachdb发生错误时如何捕获数据库名称？

本文讨论了在使用sp_msforeachdb执行动态SQL命令时，当发生错误时如何捕获数据库名称。提供了两种解决方案，并介绍了如何正确使用'?'来显示数据库名称。 ... [详细]

蜡笔小新 2023-12-12 15:20:14
bit
Windows7 64位系统安装PLSQL Developer的步骤和注意事项

本文介绍了在Windows7 64位系统上安装PLSQL Developer的步骤和注意事项。首先下载并安装PLSQL Developer，注意不要安装在默认目录下。然后下载Windows 32位的oracle instant client，并解压到指定路径。最后，按照自己的喜好对解压后的文件进行命名和压缩。 ... [详细]

蜡笔小新 2023-12-12 13:32:08

Victoria625_176

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章